La procédure Video-Ident est utilisée pour de nombreux domaines sur Internet. Des comptes bancaires peuvent être ouverts et des contrats conclus de cette manière, par exemple. Mais maintenant, une grave faille de sécurité a été découverte dans le processus d’identification vidéo, qui a toujours été considéré comme sûr.
Les experts en sécurité du Chaos Computer Club (CCC) ont réussi à déjouer le processus d’identification vidéo et ainsi révéler une faille de sécurité. Dans le processus, les utilisateurs doivent tenir leur carte d’identité devant une caméra sous différents angles afin de s’identifier. Mais c’est bien là que réside le problème.
CCC découvre une faille de sécurité dans le processus d’identification vidéo
Le CCC a manipulé tout le processus d’identification de la procédure Video-Ident et s’est ainsi heurté à la faille de sécurité. Les experts ont créé un jumeau numérique d’une carte d’identité et l’ont remplacé par le nom, l’adresse et la photo du passeport. À l’aide d’un logiciel, ils ont ensuite fusionné l’original et la copie révisée de la carte d’identité en une copie vidéo. Maintenant, ils ont commencé le processus d’identification vidéo, mais au lieu de détenir une véritable pièce d’identité, ils ont conservé la vidéo avec la copie de la pièce d’identité de la caméra. Dans le même temps, ils ont utilisé un smartphone avec un appareil photo médiocre, ce qui a vraisemblablement réduit la qualité de la transmission des images. La circonstance était suffisante pour tromper les employés du service d’identification vidéo en leur faisant croire que la carte d’identité était réelle.
Au total, six fournisseurs nationaux et internationaux du processus d’identification vidéo ont été trompés de cette manière. Particulièrement mauvais : La procédure a fonctionné même si des erreurs évidentes étaient visibles sur la carte d’identité. Les experts du CCC supposent donc que les utilisateurs ordinaires pourraient également exploiter pour eux-mêmes la faille de sécurité dans le processus d’identification vidéo. La conclusion est donc sans équivoque : les experts qualifient la sécurisation de la procédure d’« échec total ».
A lire aussi : Activez l’accès à la banque en ligne depuis chez vous
Dossiers médicaux électroniques accessibles grâce à la vulnérabilité
Comme mentionné au début, la procédure d’identification vidéo sur Internet est souvent un préalable à la conclusion de comptes ou de contrats. Cependant, il est également utilisé dans le domaine médical, par exemple pour accéder au dossier ePatient et aux services ePrescription. En raison de la faille de sécurité dans le processus d’identification vidéo, les experts ont ainsi pu accéder aux dossiers médicaux de chacune des 73 millions de personnes bénéficiant d’une assurance maladie légale en Allemagne. Et cela inclut les informations médicales stockées par les médecins, les hôpitaux et les compagnies d’assurance. Le CCC a même testé que cela fonctionnait sans aucun problème et a appelé et ouvert les fichiers d’une personne de test initiée. Les experts en sécurité ont ensuite eu accès aux ordonnances remplies, aux certificats d’invalidité, aux diagnostics médicaux et aux documents de traitement originaux.
Les compagnies d’assurance maladie doivent suspendre le processus d’identification vidéo pour le moment en raison de la faille de sécurité. L’étape est inévitable dans le contexte du besoin élevé de protection dans la numérisation du système de santé, selon le fournisseur de services de numérisation du système de santé allemand, Gematik. “Gematik a déclaré que la poursuite de l’utilisation des procédures d’identification vidéo pour la délivrance de moyens d’identification à utiliser dans l’infrastructure télématique (TI) n’est plus autorisée et le 9 août 2022 a décrété que les compagnies d’assurance maladie peuvent utiliser la procédure d’identification vidéo avec effet immédiat suspendre », lit-on dans le communiqué officiel. Une décision ne peut être prise sur la ré-approbation des procédures d’identification vidéo que lorsque les prestataires ont fourni des preuves concrètes que leurs procédures ne sont plus susceptibles de présenter les faiblesses mises en évidence. Le ministère fédéral de la Santé est également à l’origine de la décision d’arrêter provisoirement la procédure d’identification vidéo dans le secteur médical.
Lisez aussi : Le permis de conduire numérique arrive sur les téléphones portables – mais a toujours des limites
La réaction des autorités
Mais tout le monde n’est pas aussi prudent que Gematik. Le CCC souligne que les autorités de protection des données et l’Office fédéral de la sécurité de l’information (BSI) mettent en garde depuis longtemps contre des failles de sécurité telles que celles du processus d’identification vidéo. Selon les experts, cependant, ils sont jusqu’à présent “tombés dans l’oreille d’un sourd” à l’Agence fédérale des réseaux. La justification de l’autorité : “Le gouvernement fédéral n’a pas encore pris connaissance d’incidents de sécurité spécifiques.” Et en fait, la vulnérabilité qui a maintenant été découverte n’était pas connue auparavant du BSI. Le CCC est donc heureux, selon sa propre déclaration, d’apporter un incident de sécurité spécifique et de pouvoir ainsi mettre en évidence la nécessité d’agir.
Le BSI a également souligné que la décision quant à la mesure dans laquelle le processus d’identification vidéo peut continuer à être utilisé dans d’autres domaines d’application dans les circonstances données relève de la responsabilité des autorités de contrôle respectives. Le rapport du CCC a apparemment secoué nombre d’entre eux. Par exemple, l’Autorité fédérale de surveillance financière (Bafin) responsable a expliqué à la demande de chaudque l’information est également prise très au sérieux. Cependant, la décision des caisses d’assurance maladie de ne pas utiliser la procédure ne permet pas automatiquement de tirer des conclusions sur les demandes dans d’autres secteurs. Car les autorités n’ont encore connaissance d’aucun détail. “Par conséquent, une évaluation finale des scénarios d’attaque décrits et une décision sur d’éventuelles mesures n’est pas encore possible”, a déclaré un porte-parole de la Bafin.

